报告编号：CERT-R-2023-367

报告来源：360CERT

报告作者：360CERT

更新日期：2023-08-28

0x01   事件导览

本周收录安全热点52项，话题集中在安全漏洞、网络攻击、安全分析，主要涉及的实体有：微软（Microsoft）、Apple、TP-Link等，主要涉及的黑客组织有：Lazarus Group、APT-C-55(Kimsuky)、Lapsus$等。360CERT建议使用360安全卫士进行病毒检测，并做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   事件目录

0x03   恶意软件

黑客使用 VPN 提供商的代码证书来签署恶意软件

日期: 2023-08-21
标签: 商务服务, Ivacy, 赌博业, 证书

APT（高级持续威胁）组织（称为“青铜星光”）被发现针对东南亚赌博业，其恶意软件使用 Ivacy VPN 提供商使用的有效证书进行签名。使用有效证书的主要好处是绕过安全措施，避免引起系统警报的怀疑，并与合法软件和流量混合。据分析该活动的 SentinelLabs 称，该证书属于 VPN 产品“Ivacy VPN”的新加坡供应商 PMG PTE LTD。

详情

Scarab 勒索软件通过 Spacecolon 工具集在全球部署

日期: 2023-08-23
标签: 土耳其, 信息技术, Scarab, Spacecolon

2023年8月22日，ESET 的网络安全研究人员发现了一个名为 Spacecolon 的恶意工具集，该工具集已被部署用于在全球受害者组织中传播 Scarab 勒索软件的变体。根据 ESET 的公告，该工具集被认为可以通过利用易受攻击的 Web 服务器或对远程桌面协议 (RDP) 凭据进行暴力攻击来进入受害组织。ESET 的调查还显示，某些 Spacecolon 版本包含土耳其字符串，表明土耳其语开发商参与其中。

详情

XLoader MacOS 恶意软件变体携 OfficeNote Facade 卷土重来

日期: 2023-08-24
标签: 信息技术, Apple, macOS

XLoader 恶意软件重新出现，伪装成一个看似无害的办公生产力应用程序，名为“OfficeNote”。XLoader 自 2015 年以来就因其恶意活动而闻名，并于 2021 年开始针对 macOS 系统，利用 Java 依赖项进行操作。然而，根据 SentinelOne 周一发布的公告，这个新的迭代是自给自足的，用 C 和 Objective C 语言编程，并带有合法的苹果开发者签名。专家建议 macOS 用户保持警惕，强调部署可靠的第三方安全解决方案来阻止这种持续威胁。

详情

新的 Whiffy Recon 恶意软件使用 WiFi 来测量用户位置

日期: 2023-08-25
标签: 信息技术, Smoke Loader

Smoke Loader 僵尸网络背后的网络犯罪分子正在使用一种名为 Whiffy Recon 的新恶意软件，通过 WiFi 扫描和 Google 地理定位 API 来三角定位受感染设备的位置。Google 的地理定位 API 是一项接受带有 WiFi 接入点信息的 HTTPS 请求并返回纬度和经度坐标以定位没有 GPS 系统的设备的服务。Smoke Loader 是一种模块化恶意软件投放程序，已存在多年，主要用于妥协的早期阶段以提供新的有效负载。

详情

0x04   数据安全

特斯拉数据泄露由内部原因造成

日期: 2023-08-22
标签: 交通运输, 制造业, 特斯拉（Tesla ）, 安全管理

2023年8月下旬，特斯拉在向缅因州总检察长提交的一份文件中承认，最近发生的影响超过 75,000 人的数据泄露事件是由于“内部不当行为”造成的。2023年5月10日，德国媒体Handelsbatt通知特斯拉，其已收到特斯拉一名线人提供的100GB数据。举报人提供的信息包含 2015 年至 2022 年期间的 23,000 个内部文件。在随后对该漏洞的调查中，特斯拉发现两名前员工“盗用了这些信息，违反了特斯拉的 IT 安全和数据保护政策，并将其与媒体分享。

详情

黑客论坛公布 260 万 Duolingo 用户的爬取数据

日期: 2023-08-23
标签: 信息技术, DuoLingo, 网络钓鱼攻击

260 万 DuoLingo 用户的抓取数据在黑客论坛上泄露，攻击者可以利用暴露的信息进行有针对性的网络钓鱼攻击。Duolingo 是世界上最大的语言学习网站之一，全球每月拥有超过 7400 万用户。2023 年 1 月，有人在现已关闭的 Breached 黑客论坛上以 1,500 美元的价格出售 260 万 DuoLingo 用户的抓取数据。这些数据包括公共登录名和真实姓名以及非公开信息，包括电子邮件地址和与 DuoLingo 服务相关的内部信息。虽然真实姓名和登录名作为用户 Duolingo 个人资料的一部分公开，但电子邮件地址更令人担忧，因为它们允许在攻击中使用这些公共数据。

详情

美国政府和国防承包商 Belcan 的超级管理员凭据泄露

日期: 2023-08-23
标签: 信息技术, 政府部门, 科研服务, 制造业, Belcan, 国防

Belcan 是一家政府、国防和航空航天承包商，提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。该公司预计 2022 年收入为 9.5 亿美元，是 40 多个美国联邦机构值得信赖的战略合作伙伴。2023 年 5 月 15 日，Cybernews 研究团队发现了一个开放的 Kibana 实例，其中包含有关 Belcan、其员工和内部基础设施的敏感信息。Kibana 是数据搜索和分析引擎 ElasticSearch 的可视化仪表板。这些系统帮助企业处理大量数据。虽然泄露的信息凸显了 Belcan 通过实施渗透测试和审计对信息安全的承诺，但攻击者可以利用开放测试结果以及使用 bcrypt 散列的管理员凭据的漏洞。

详情

0x05   网络攻击

朝鲜Kimsuky瞄准韩美军事演习

日期: 2023-08-21
标签: 政府部门, APT-C-55(Kimsuky), 鱼叉式网络钓鱼

与朝鲜有关联的 APT 组织Kimsuky对参与美韩联合军事演习的美国承包商发起了鱼叉式网络钓鱼活动。2023年8月20日，韩国警方报道了这一消息，执法部门还补充说，国家支持的黑客并未窃取任何敏感数据。此次军事演习“乙支自由卫士”夏季演习将于2023年8月21日星期一开始，为期11天。军事演习旨在提高两军应对朝鲜不断变化的核威胁和导弹威胁的能力。

详情

网络钓鱼攻击针对 4 大洲数百名 Zimbra 客户

日期: 2023-08-21
标签: 信息技术, 政府部门, Zimbra, 网络钓鱼攻击

2023年8月中旬，ESET研究人员表示，针对 Zimbra Collaboration 软件套件客户的网络钓鱼活动已蔓延到十几个国家的数百个组织。Zimbra 是一个协作软件套件，其中包括电子邮件服务器和 Web 客户端。根据跟踪的用户数据，它是传统企业电子邮件解决方案的利基替代品，只占市场一小部分。恩利夫特和6感。ESET 研究人员表示，自 2023 年 4 月以来，身份不明的威胁参与者一直在使用分散式网络钓鱼电子邮件来剔除特权 Zimbra 帐户的凭据。主要目标是中小型企业（开放核心软件的主要客户群），尽管一些政府组织也卷入了这场活动。

详情

古巴勒索软件利用 Veeam 攻击美国关键组织

日期: 2023-08-21
标签: 美国, 信息技术, 政府部门, Veeam, CVE-2023-27532, 关键基础设施组织

古巴勒索软件团伙结合使用新旧工具对美国关键基础设施组织和拉丁美洲 IT 公司发起攻击。黑莓的威胁研究和情报团队于 2023 年 6 月上旬发现了最新的活动，报告称古巴现在利用 CVE-2023-27532 从配置文件中窃取凭据。该特定漏洞影响 Veeam Backup & Replication (VBR) 产品，自 2023 年 3 月起就已出现针对该漏洞的利用 。古巴的初始访问向量似乎是通过 RDP 泄露的管理员凭据，而不涉及暴力破解。黑莓强调了古巴勒索软件团伙的明显财务动机，并提到该威胁组织可能来自俄罗斯，这在过去的其他网络情报报告中也有过假设。将 CVE-2023-27532 纳入古巴的目标范围使得及时安装 Veeam 安全更新变得极其重要，并再次凸显了在公开可用的 PoC（概念验证）漏洞可用时延迟更新的风险。

详情

美联储警告：美国航天工业受到外国间谍干扰

日期: 2023-08-22
标签: 政府部门, 科研服务, 美国航天工业

2023年8月中旬，美国国家反情报和安全中心（NCSC）、联邦调查局（FBI）和空军特别调查办公室（AFOSI）发布联合警告，外国对手正在对美国航天工业发动网络间谍活动。这份长达两页的咨询警告称，外国情报实体（FIE）认识到航天工业是经济的关键驱动力，而卫星网络对于紧急服务、能源、金融服务和电信来说是不可或缺的。这些攻击者可能会加大窃取航天工业技术的力度，并试图通过网络攻击破坏该行业。

详情

能源公司Energy One遭受网络攻击

日期: 2023-08-22
标签: 澳大利亚, 英国, 能源业, Energy One

2023年8月18日，批发能源软件提供商 Energy One 报告称，一场网络攻击影响了澳大利亚和英国的“某些企业系统”。Energy One 为澳大利亚和欧洲公司（例如能源零售商和发电商）提供软件和服务。该公司在一份声明中表示，正在进行分析以确定哪些系统受到了影响。Energy One 目前正在尝试确定面向客户的系统是否受到影响，以及哪些个人信息受到损害。该公司表示，已立即采取措施限制该事件的影响，聘请专家 CyberCX，并向澳大利亚网络安全中心和英国当局发出警报。作为调查的一部分，作为预防措施，能源一号已禁用其公司系统和面向客户的系统之间的链接。

详情

新的 HiatusRAT 恶意软件攻击针对美国国防部

日期: 2023-08-23
标签: 政府部门, 美国国防部, HiatusRAT

在新的 HiatusRAT 恶意软件活动中，攻击者将属于美国国防部的服务器作为目标，研究人员将其称为侦察攻击。这是策略上的重大转变，因为之前的攻击主要针对拉丁美洲和欧洲的组织，而部署这些攻击是为了破坏中型企业用于远程连接到企业网络的企业级 DrayTek Vigor VPN 路由器。HiatusRAT 样本经过重新编译，以适应各种架构（从 Arm、Intel 80386 和 x86-64 到 MIPS、MIPS64 和 i386），并托管在新收购的虚拟专用服务器 (VPS) 上。该网站与合同提案的关系表明，攻击者可能正在寻求有关军事必需品的公开信息，或试图查找有关国防工业基地 (DIB) 附属组织的信息。

详情

Snatch 勒索软件组织攻击南非国防部

日期: 2023-08-23
标签: 南非, 政府部门, 数据泄露

2023年8月，Snatch 勒索软件组织将南非国防部添加到其数据泄露站点。Snatch 勒索软件 于 2019 年底首次被发现，Sophos 研究人员发现了 Snatch 勒索软件的一部分，该勒索软件会将其感染的计算机重新启动到安全模式，以绕过驻留的安全解决方案。该组织声称窃取了军事合同、内部呼号和个人数据，总计 1.6 TB 数据。如果攻击得到证实，机密信息的泄露将对参与合同的组织构成严重风险。

详情

FBI 警告称已打补丁的梭子鱼 ESG 设备仍遭到黑客攻击

日期: 2023-08-25
标签: 信息技术, CVE-2023-2868

美国联邦调查局警告说，针对关键的梭子鱼电子邮件安全网关（ESG）远程命令注入漏洞的补丁“无效”，并且已修补的设备仍在持续的攻击中受到损害。该漏洞编号为 CVE-2023-2868，于 2022 年 10 月首次被利用，为 ESG 设备设置后门并从受感染的系统中窃取数据。攻击者部署了以前未知的恶意软件SeaSpy 和 Saltwater 以及恶意工具 SeaSide，以建立用于远程访问的反向 shell。

详情

俄罗斯“Telekopye”网络钓鱼工具包针对eBay用户

日期: 2023-08-25
标签: 信息技术, eBay, Telekopye, 网络钓鱼工具包

俄罗斯 Telegram 用户正在使用机器人自动针对 eBay 等流行电子商务网站的用户进行端到端网络钓鱼活动，并通过管理员和“员工”在类似于公司的结构中传播由此产生的财富。2023年8月24日，ESET 研究员 Radek Jizba 描述了“Telekopye”，这是一个设计为 Telegram 机器人的网络钓鱼工具包。Telekopye 可以编写电子邮件和短信、生成预制的网络钓鱼页面，并使用户能够操作图像。它吸引了社区网络犯罪分子几乎没有或根本没有技术能力，这使他们能够欺骗主要在俄罗斯以及全球其他国家的在线购物者和卖家。Telekopye 已有八年历史，并且至今仍在积极使用和更新。

详情

黑客利用 ManageEngine 漏洞破坏互联网组织

日期: 2023-08-25
标签: 信息技术, Zoho, Lazarus Group, CVE-2022-47966

被追踪为 Lazarus 的朝鲜国家支持的黑客组织一直在利用 Zoho ManageEngine ServiceDesk 中的一个严重漏洞 (CVE-2022-47966) 来危害互联网骨干基础设施提供商和医疗机构。这些活动于2023年年初开始，旨在破坏美国和英国的实体部署 QuiteRAT 恶意软件和新发现的远程访问木马 (RAT)，研究人员将其称为 CollectionRAT。在研究人员分析了用于这些活动的基础设施后，CollectionRAT 被曝光，威胁行为者也使用了这些基础设施进行其他攻击。

详情

法国国家就业机构 Pôle emploi 遭受网络攻击

日期: 2023-08-25
标签: 法国, 政府部门, 供应链攻击, MOVEit 活动, Clop 勒索软件团伙

法国国家就业机构 Pôle emploi 遭受网络攻击，可能泄露多达 1000 万人的关键信息。几位安全研究人员已将此漏洞与 Clop 勒索软件团伙的 MOVEit 活动联系起来，该活动已影响 977 个组织和近 5900 万人。防病毒软件公司 Emsisoft 已将此次攻击列为与 MOVEit 有关的攻击，并估计这家法国机构是此次供应链攻击的第二大受害者。

详情

0x06   安全漏洞

黑客可利用WinRAR 漏洞在用户打开 RAR 存档时运行程序

日期: 2023-08-21
标签: 信息技术, WinRAR, CVE-2023-40477

WinRAR 是数百万人使用的流行 Windows 文件存档实用程序，只需打开存档即可在计算机上执行命令，该漏洞已修复。该漏洞被追踪为 CVE-2023-40477，在打开特制的 RAR 文件后，远程攻击者可以在目标系统上执行任意代码。该漏洞由零日计划的研究人员“goodbyeselene”发现，并于 2023 年 6 月 8 日向供应商 RARLAB 报告了该漏洞。

详情

Microsoft 错误配置 DNS 后 Hotmail 电子邮件发送失败

日期: 2023-08-21
标签: 信息技术, 微软（Microsoft）, Hotmail

全球各地的 Hotmail 用户在发送电子邮件时都遇到问题，在 Microsoft 错误配置域的 DNS SPF 记录后，邮件被标记为垃圾邮件或未送达。电子邮件问题于2023年8月17日深夜开始，用户和管理员在 Reddit、Twitter 和 Microsoft 论坛上报告称，他们的 Hotmail 电子邮件由于 SPF 验证错误而失败。2023 年 8 月 18 日， Microsoft 表示已经解决了该问题，Hotmail 不应再无法通过 SPF 检查。

详情

Juniper Junos OS 的四个漏洞可以链接到远程攻击设备

日期: 2023-08-21
标签: 信息技术, Juniper Junos OS

2023年8月中旬，瞻博网络发布了“周期外”安全更新，以解决 Junos OS 的 J-Web 组件中的四个漏洞。这些漏洞可以串联起来，在易受攻击的设备上实现远程代码执行。这些漏洞影响 SRX 和 EX 系列上所有版本的 Junos OS。这些漏洞的累积严重性评估 (CVSS) 得分为 9.8。

详情

Ivanti 警告新的 MobileIron 零日漏洞被积极利用

日期: 2023-08-22
标签: 信息技术, Ivanti, CVE-2023-38035, 零日漏洞

2023年8月21日，美国 IT 软件公司 Ivanti 警告客户，一个关键的 Sentry API 身份验证绕过漏洞正在被利用。Ivanti Sentry（以前称为 MobileIron Sentry）充当企业 ActiveSync 服务器（例如 Microsoft Exchange Server）或后端资源（例如 MobileIron 部署中的 Sharepoint 服务器）的看门人，并且还可以作为 Kerberos 密钥分发中心代理 (KKDCP) 服务器运行。该严重漏洞 (CVE-2023-38035) 由网络安全公司 mnemonic 的研究人员发现并报告，使未经身份验证的攻击者能够访问通过端口 8443 公开的敏感管理门户配置 API（由 MobileIron 配置服务 (MICS) 使用）。成功利用该漏洞后，他们可以更改配置、运行系统命令或将文件写入运行 Ivanti Sentry 版本 9.18 及更早版本的系统。

详情

白帽黑客演示如何欺骗 Apple 设备并诱骗用户共享敏感数据

日期: 2023-08-22
标签: 信息技术, Apple, 敏感数据

在2023年8月的 Def Con 黑客大会上，白帽黑客演示了如何欺骗 Apple 设备并诱骗用户共享敏感数据。据 Techcrunch 报道，使用 iPhone 参加会议的与会者开始看到弹出消息， 提示他们连接 Apple ID 或与附近的 Apple TV 共享密码。在真实的攻击场景中，点击并接受提示后，威胁行为者将能够从数据包中收集一些数据，包括电话号码、Apple ID 电子邮件和当前的 Wi-Fi 网络。即使用户点击蓝牙图标，他们的 iPhone 也会继续接收接近操作。研究人员推测这些漏洞“是故意设计的”，目的是让智能手表和耳机能够在蓝牙切换的情况下继续工作，而苹果不会解决这些问题。专家建议在设备设置中关闭蓝牙以保护设备。

详情

黑客可利用TP-Link智能灯泡的漏洞窃取用户 WiFi 密码

日期: 2023-08-22
标签: 制造业, TP-Link, 智能灯泡, WiFi

意大利和英国的研究人员在 TP-Link Tapo L530E 智能灯泡和 TP-Link Tapo 应用程序中发现了四个漏洞，攻击者可以利用这些漏洞窃取目标的 WiFi 密码。TP-Link Tapo L530E 是包括亚马逊在内的多个市场上最畅销的智能灯泡。TP-link Tapo是一款智能设备管理应用程序，在Google Play上拥有1000万安装量 。

详情

超过 3,000 台 Openfire 服务器容易受到接管攻击

日期: 2023-08-24
标签: 信息技术, Openfire, CVE-2023-32315

数千台 Openfire 服务器仍然容易受到 CVE-2023-32315 的攻击，这是一个被积极利用的路径遍历漏洞，允许未经身份验证的用户创建新的管理员帐户。Openfire 是一种广泛使用的基于 Java 的开源聊天 (XMPP) 服务器，下载量达 900 万次。2023 年 5 月 23 日，据透露，该软件受到 身份验证绕过问题的影响 ，该漏洞影响了 2015 年 4 月发布的 3.10.0 版本。Openfire 开发人员在版本 4.6.8、4.7.5 和 4.8.0 中发布了安全更新来解决该问题。尽管如此，在 6 月份，有报道称 [ 1 , 2 ] 该缺陷被积极利用来创建管理员用户并在未修补的服务器上上传恶意插件。

详情

WinRAR 零日漏洞自 4 月份以来一直被用来攻击交易账户

日期: 2023-08-24
标签: 信息技术, CVE-2023-38831, WinRAR

被追踪为 CVE-2023-38831 的 WinRar 零日漏洞被积极利用，当点击存档中的无害文件时安装恶意软件，从而使黑客能够破坏在线加密货币交易账户。自 2023 年 4 月以来，该漏洞一直受到积极利用，帮助传播各种恶意软件系列，包括 DarkMe、GuLoader 和 Remcos RAT。WinRAR 零日漏洞允许威胁行为者创建恶意 .RAR 和 .ZIP 存档，这些存档显示看似无害的文件，例如 JPG (.jpg) 图像、文本文件 (.txt) 或 PDF (.pdf) 文档。然而，当用户打开该文档时，该漏洞将导致执行脚本，在设备上安装恶意软件。该零日漏洞在 2023 年 8 月 2 日发布的WinRAR 版本 6.23中得到修复，该版本还解决了其他几个安全漏洞， 包括 CVE-2023-40477，该漏洞可以在打开特制的 RAR 文件时触发命令执行。

详情

TP-Link 智能灯泡泄露 Wi-Fi 密码

日期: 2023-08-24
标签: 制造业, TP-Link, 智能灯泡, Wi-Fi

来自意大利和伦敦的安全研究人员在一个流行品牌的智能灯泡中发现了4个漏洞，攻击者可能会利用这些漏洞发现目标的 Wi-Fi 密码。TP-Link Tapo L530E 是包括亚马逊在内的多个市场上最受欢迎的智能灯泡之一。用于控制设备的移动应用程序TP-link Tapo是一款智能设备管理应用程序，在Play Store上拥有1000万安装量。TP-Link 已开始致力于解决这些漏洞。

详情

Ivanti Sentry 身份验证绕过漏洞的POC发布

日期: 2023-08-25
标签: 信息技术, CVE-2023-38035

2023年8月24日，攻击面评估公司 Horizon3 的安全研究人员发布了针对此高严重性漏洞的技术根本原因分析和概念验证(PoC) 漏洞。概念验证利用代码现已可用于关键的 Ivanti Sentry 身份验证绕过漏洞，该漏洞使攻击者能够以 root 身份在易受攻击的系统上远程执行代码。该漏洞 ( CVE-2023-38035 ) 由网络安全公司 mnemonic 发现，允许威胁参与者通过利用限制性不够的 Apache HTTPD 配置来访问敏感的 Sentry 管理员界面 API。成功利用该漏洞可以让他们运行系统命令或将文件写入运行 Ivanti Sentry 版本 9.18 及更早版本的系统。

详情

黑客可利用Jupiter X Core WordPress 插件漏洞劫持网站

日期: 2023-08-25
标签: 信息技术, Jupiter X Core

Jupiter X Core（用于设置 WordPress 和 WooCommerce 网站的高级插件）的某些版本存在两个漏洞，允许劫持帐户并在未经身份验证的情况下上传文件。Jupiter X Core 是一款易于使用且功能强大的可视化编辑器，是 Jupiter X 主题的一部分，已在超过172,000 个网站中使用。WordPress 安全公司 Patchstack 的分析师 Rafie Muhammad 发现了这两个严重漏洞，并将其报告给 Jupiter X Core 的开发者 ArtBee，Jupiter X Core于2023年8月初解决了这些问题。

详情

0x07   安全分析

BlindEagle组织针对哥伦比亚的APT攻击行动

日期: 2023-08-21
标签: 法律, 信息技术, BlindEagle, APT舆情

近日，瑞星威胁情报平台捕获一起针对哥伦比亚地区的APT攻击事件，通过与以往感染链的对比分析发现，此次事件的攻击者为BlindEagle组织。该组织将伪装成参加法外调解听证会通知的钓鱼邮件发送给受害者，以此诱导受害者点击邮件附件，从而下载远控后门程序，达到窃取隐私信息的目的。

详情

超过一半的浏览器扩展存在安全风险

日期: 2023-08-23
标签: 信息技术, 浏览器扩展, 浏览器安全

一项新的研究发现，组织允许员工在使用 Google Workspace 和 Microsoft 365 等 SaaS 应用时使用的许多浏览器扩展可以访问高级内容，并存在数据盗窃和合规问题等风险。Spin.AI 的研究人员对企业环境中使用的约 300,000 个浏览器扩展和第三方 OAuth 应用程序进行了风险评估。重点是跨多种浏览器（例如 Google Chrome 和 Microsoft Edge）的基于 Chromium 的浏览器扩展。研究显示，所有已安装的扩展中有 51% 具有高风险，有可能对使用它们的组织造成广泛损害。这些扩展程序都能够从企业应用程序捕获敏感数据，运行恶意 JavaScript，并秘密向外部各方发送包括银行详细信息和登录凭据在内的受保护数据。

详情

MOVEit 漏洞的持续利用导致勒索软件攻击创纪录

日期: 2023-08-23
标签: 信息技术, MOVEit

2023年8月，NCC 集团威胁情报团队表示，由于 Clop 团伙持续利用 MOVEit 漏洞，勒索软件攻击在 2023 年 7 月达到创纪录水平。研究人员观察到，7 月份的单月勒索软件攻击数量最多，为 502 起。与 2022 年 7 月相比，同比增长 154%，比上个月（2023 年 6 月）增长 16%。该报告发现，Clop 组织对 7 月份的 502 起勒索软件攻击中的 171 起（34%）负责，该组织继续通过MOVEit 文件传输缺陷针对全球组织。

详情

分析Andariel组织的新攻击行动

日期: 2023-08-24
标签: 信息技术, Andariel, APT舆情

AhnLab安全紧急响应中心（ASEC）持续监控Andariel威胁组织的攻击，最近发现了疑似Andariel组织的攻击案例。但是不存在直接关联，因为没有使用先前攻击中识别的恶意软件或C&C服务器。ASEC为了确认这些攻击与Andariel威胁组织之间的联系，首先对Andariel组织在2023年上半年的攻击案件进行分析。2023年确认的攻击的一个特点是识别出大量用Go语言开发的恶意代码。过去针对Innorix Agent的攻击使用的是Go语言开发的Reverse Shell，后来针对韩国国内企业的攻击则使用了Black RAT。这种趋势导致了近期的攻击案例中也使用了Go语言开发的其他恶意代码，如Goat RAT和DurianBeacon等也被用于攻击。

详情

勒索软件家族Adhubllka出现新变化

日期: 2023-08-25
标签: 信息技术, Adhubllka 勒索软件家族

网络安全研究人员揭示了一个由相互关联的勒索软件病毒组成的复杂网络，这些病毒病毒的起源可以追溯到一个共同的来源：Adhubllka 勒索软件家族。这项研究由 Netenrich 的网络安全分析师进行，深入研究了各种勒索软件变体的谱系，包括 LOLKEK、BIT、OBZ、U2K 和 TZW。研究人员观察到，这些看似不同的勒索软件菌株在代码库、策略和基础设施方面具有显着的相似之处。 通过追踪这些病毒株的进化，研究人员能够建立一种谱系关系，将它们与 2020 年 1 月首次出现的原始 Adhubllka 勒索软件联系起来。Adhubllka勒索软件家族经历了多次迭代，每次迭代都对加密方案、勒索信息和通信方式进行了细微修改。

详情

0x08   行业动向

Rust 开发者抵制 Serde 项目发布预编译的二进制文件

日期: 2023-08-21
标签: 信息技术, Rust

Serde 是一个流行的 Rust（反）序列化项目，它决定将其serde_derive宏作为预编译的二进制文件提供。此举在开发人员中引起了相当大的抵制，他们担心如果发布这些二进制文件的维护者帐户受到损害，其未来的法律和技术影响以及供应链攻击的可能性。 根据 Rust 包注册中心 crates.io 的数据， serde在其生命周期内已被下载超过 1.96 亿次，而serde_derive 宏的下载量超过 1.71 亿次，证明了该项目的广泛流通。

详情

Google Chrome升级扩展程序检测

日期: 2023-08-21
标签: 信息技术, Chrome

谷歌正在测试 Chrome 浏览器中的一项新功能，当已安装的扩展程序从 Chrome 网上应用店中删除时，该功能将向用户发出警告，这通常表明它是恶意软件。这些恶意扩展程序是由诈骗公司和黑客制作的，他们使用这些恶意程序来注入广告、跟踪您的搜索历史记录、将您重定向到附属页面，或者在更严重的情况下，窃取您的 Gmail 电子邮件 和 Facebook 帐户。谷歌现在将其安全检查功能引入浏览器扩展程序中，当扩展程序被检测为恶意软件或从商店中删除时，会警告 Chrome 用户，并应将其从浏览器中卸载。此功能将在 Chrome 117 中上线，用户现在可以通过启用浏览器的实验性“安全检查中的扩展模块”功能在 Chrome 116 中对其进行测试。

详情

攻击者可利用新工具NoFilter获得Windows系统权限

日期: 2023-08-24
标签: 信息技术, 微软（Microsoft）, NoFilter

安全研究人员发布了NoFilter，这是一个滥用Windows过滤平台来提升用户权限的工具，将用户的权限增加到SYSTEM权限，这是Windows上的最高权限级别。该实用程序在后利用场景中非常有用，在这种场景中，攻击者需要以更高的权限执行恶意代码，或者在其他用户已经登录到受感染设备时在受害者网络上横向移动。

详情

Bitwarden 发布免费开源 E2EE Secrets Manager

日期: 2023-08-24
标签: 信息技术, Bitwarden, 密码管理

Bitwarden 是流行的开源密码管理器工具的制造商，它发布了“Secrets Manager”，这是一款面向 IT 专业人员、软件开发团队和 DevOps 行业的端到端加密秘密管理器。该工具旨在作为硬编码机密或通过电子邮件共享“.env”文件的安全替代方案，为用户提供灵活性、可扩展性，并在数据泄露的情况下保证其机密的安全。这些秘密通常包括 API 密钥、用户身份验证证书、数据库密码、SSL 和 TLS 证书、私有加密密钥、SSH 密钥等。这些秘密会在网络攻击后无意中暴露在网上，或者由于开发生命周期中的安全实践不佳而被公开泄露。

详情

0x09   勒索攻击

日本钟表制造商 Seiko 遭 BlackCat 勒索软件团伙攻击

日期: 2023-08-22
标签: 日本, 制造业, Seiko, BlackCat (ALPHV), 勒索攻击

BlackCat/ALPHV 勒索软件团伙已将 Seiko 添加到其勒索网站，声称对这家日本公司本月早些时候披露的网络攻击负责。Seiko 是世界上最大、历史最悠久的制表商之一，拥有约 12,000 名员工，年收入超过 16 亿美元。2023 年 8 月 10 日，该公司发布了一份数据泄露通知，通知未经授权的第三方获得了对其 IT 基础设施的至少一部分的访问权限，并访问或窃取了数据。

详情

Akira 勒索软件利用受损的 Cisco VPN 进行网络攻击

日期: 2023-08-23
标签: 信息技术, 思科（Cisco）, Cisco VPN

越来越多的证据表明 Akira 勒索软件将 Cisco VPN（虚拟专用网络）产品作为攻击媒介，以破坏企业网络、窃取并最终加密数据。Akira 勒索软件是一种相对较新的勒索软件操作 ，于 2023 年 3 月推出，该组织后来 添加了一个 Linux 加密器 来针对 VMware ESXi 虚拟机。据报道，Akira 一直在使用受损的 Cisco VPN 帐户来破坏企业网络，而无需删除额外的后门或设置可能泄露这些帐户的持久性机制。

详情

丹麦托管公司 CloudNordic 和 AzeroCloud 遭受勒索软件攻击

日期: 2023-08-24
标签: 丹麦, 信息技术, CloudNordic, AzeroCloud, 勒索软件攻击

丹麦托管公司 CloudNordic 和 AzeroCloud 遭受勒索软件攻击，导致大部分客户数据丢失，并迫使托管提供商关闭所有系统，包括网站、电子邮件和客户站点。这两个品牌属于同一家公司，并表示袭击发生在2023年8月18日晚上。然而，如今的运营状态仍然存在很大问题，该公司的 IT 团队只能恢复一些服务器，而没有任何数据。此外，该公司的声明澄清，它不会向威胁行为者支付赎金，并已与安全专家接洽并向警方报告了这一事件。

详情

0x0a   其他事件

国际刑警组织逮捕 14 名涉嫌盗窃 4000 万美元的网络犯罪嫌疑人

日期: 2023-08-21
标签: 非洲, 政府部门, 信息技术, 金融业, “非洲网络浪潮 II”

国际刑警组织领导的一项国际执法行动于 2023 年 4 月发起，代号为“非洲网络浪潮 II”，逮捕了 14 名网络犯罪嫌疑人。这次 为期四个月的行动 覆盖了 25 个非洲国家，破坏了 20,000 多个从事勒索、网络钓鱼、BEC 和在线诈骗的网络犯罪网络，造成了超过 40,000,000 美元的经济损失。除了逮捕之外，当局还查获了数百个托管恶意软件并帮助传播危险软件的恶意 IP 地址。

详情

Google 搜索结果中的虚假重定向将导致浏览器被锁定

日期: 2023-08-22
标签: 信息技术, 谷歌（Google）, Google 搜索

Google 搜索结果中看似合法的亚马逊广告将访问者假装重定向到 Microsoft Defender 技术支持，从而锁定了他们的浏览器。2023年8月21日，BleepingComputer 收到警报，发现 Google 搜索结果中似乎存在亚马逊的有效广告，该广告显示了亚马逊的合法网址。点击 Google 广告会将用户重定向到一个技术支持骗局，该骗局冒充 Microsoft Defender 发出的警报，表明用户感染了 ads(exe).finacetrack(2).dll 恶意软件。

详情

Duo 持续中断导致 Azure Auth 身份验证错误

日期: 2023-08-22
标签: 信息技术, Duo Security, Azure

思科旗下的多重身份验证 (MFA) 提供商 Duo Security 正在调查2023 年 8 月 21 日开始的持续中断，该中断导致身份验证失败和错误。这次中断还导致多个 Duo 服务器出现核心身份验证服务问题，从而在系统范围内的中断中触发 Azure 条件访问集成的 Azure Auth 身份验证错误。虽然 Azure 身份验证问题已自动解决，但客户仍然报告遇到问题（包括登录时身份验证速度缓慢和失败）。

详情

以色列和美国政府机构宣布 BIRD 网络计划

日期: 2023-08-22
标签: 美国, 以色列, 信息技术, 政府部门, BIRD 网络计划

以色列和美国政府机构宣布了 BIRD 网络计划，该项目投资约 400 万美元，旨在增强关键基础设施的网络弹性。BIRD 网络计划是以色列国家网络局 (INCD)、以色列-美国两国工业研究与发展 (BIRD) 基金会和美国国土安全部 (DHS) 科学技术局 (S&T) 的联合倡议，旨在推动旨在增强两国关键基础设施网络弹性的项目。该项目由 BIRD 基金会管理，该基金会是一个支持以色列和美国组织之间联合研究活动的非营利组织。该倡议计划投资 385 万美元用于开发尖端国防解决方案的项目。该计划旨在开发用于检测和预防网络攻击的新解决方案、保护敏感数据的技术以及提高关键基础设施系统的安全性。

详情

约旦通过备受争议的网络犯罪法

日期: 2023-08-23
标签: 约旦, 信息技术, 政府部门, 网络犯罪法

约旦政府通过了一项新的网络犯罪法，尽管其内容受到全球批评，而且通过的速度相对较快。约旦的新网络犯罪法是在过去十年中发布的几项相关网络犯罪政策之后发布的，但在主动解决该国的漏洞、网络犯罪活动和惩罚方面，约旦的新网络犯罪法更加详细和简洁。这项新法律是在过去几年针对中东的袭击增加的背景下出台的。在现阶段，尚不清楚这项法律将对确保约旦的基础设施安全产生何种影响。

详情

美国推出 ARPA-H 计划应对医疗行业网络威胁

日期: 2023-08-23
标签: 卫生行业, 政府部门, ARPA-H

为了应对针对美国医疗保健系统的网络攻击，在拜登-哈里斯政府的倡议下运作的卫生高级研究计划局 (ARPA-H) 推出了数字健康安全 (DIGIHEALS) 项目。 通过全面的广泛机构公告 (BAA)，DIGIHEALS 项目将征集最初为国家安全目的而设计的最先进技术的提案。这些技术将被重新用于加强民用卫生系统、临床护理机构和个人健康设备。通过遏制大规模网络攻击的可能性，DIGIHEALS 旨在减轻此类攻击可能对医疗设施造成的破坏性影响，其中一些设施已被迫永久关闭。除了网络安全目标外，DIGIHEALS 项目还致力于解决可能危及患者安全和整体体验的软件相关漏洞。

详情

美国联邦调查局 (FBI) 警告Lazarus黑客组织盗窃加密货币

日期: 2023-08-24
标签: 信息技术, 金融业, Lazarus Group, 加密货币, 区块链

FBI 追踪到朝鲜民主主义人民共和国(DPRK) TraderTraitor 附属行为者（通常称为Lazarus Group或 APT38）窃取了数亿美元的加密货币，目前正在向加密货币公司发出这种恶意区块链活动的警告。在一项调查中，FBI 发现这些攻击者从多次加密货币抢劫中转移了 1,580 个比特币，并将这些资金存放在六个不同的比特币地址中。该团伙可能会尝试将被盗的加密货币兑现，金额超过 4000 万美元。

详情

Lapsus$ 青少年黑客因网络攻击而被定罪

日期: 2023-08-24
标签: 信息技术, Lapsus$

2023年8月，伦敦陪审团发现，Lapsus$ 数据勒索团伙的一名 18 岁成员帮助入侵了多家知名公司，窃取了这些公司的数据，并威胁要泄露信息索要赎金。来自英国牛津的 Arion Kurtaj 被认为是该组织的领导人之一，他因与 Lapsus$ 黑客活动有关而于 2022 年两次被捕，第一次是在 1 月，第二次是在 3 月 。他因违反金融科技公司 Revolut、拼车服务Uber和游戏开发商 Rockstar Games 的信息而受到审判。受 Lapsus$ 影响的知名组织还包括 微软、 思科、 Okta、 Nvidia、 T-Mobile、 三星、 沃达丰、 育碧、2K 和 Globant。

详情

攻击者利用基于AI的 Facebook 虚假广告来劫持企业帐户

日期: 2023-08-24
标签: 信息技术, 人工智能

2023年8月23日，趋势科技高级威胁研究人员 Jindrich Karasek 和 Jaromir Horejsi 发布报告表示，黑客一直在滥用付费 Facebook 广告来引诱受害者，并利用人工智能技术传播恶意 Chrome浏览器扩展程序，窃取用户的凭据，最终目的是接管企业帐户。这些广告包含营销公司或部门的虚假简介，承诺使用人工智能来提高生产力、扩大覆盖范围和收入，或帮助教学。有些诱饵甚至会悬挂对话式人工智能聊天机器人 Google Bard 的访问权限（目前限量发行），以让受害者上钩。

详情

NIST 发布后量子密码学标准草案

日期: 2023-08-25
标签: 金融业, 信息技术, 美国国家标准与技术研究院 (NIST) , 后量子密码学

美国国家标准与技术研究院 (NIST) 发布了后量子密码学 (PQC) 标准草案。新框架旨在帮助组织保护自己免受未来量子网络攻击。文件草案于 2023 年 8 月 24 日发布，包含三项联邦信息处理标准 (FIPS) 草案。经过多轮评选，NIST于 2022 年 7 月公布了将构成其 PQC 标准的四种加密算法。其中选择 CRYSTALS-Kyber 算法用于通用加密（用于访问安全网站），并选择 CRYSTALS-Dilithium、FALCON 和 SPHINCS+用于数字签名。

详情

朝鲜的 Lazarus APT 使用 GUI 框架构建隐形 RAT

日期: 2023-08-25
标签: 信息技术, Lazarus Group, QuiteRAT

在2023年8月针对医疗保健组织和互联网基础设施公司的攻击中，朝鲜的 Lazarus Group部署了一种名为“QuiteRAT”的新型、超紧凑、高度规避的远程访问木马 (RAT)。QuiteRAT 是该组织于 2022 年部署的另一种 RAT“MagicRAT”的升级版本，“MagicRAT”本身是 2021 年“TigerRAT”的后续版本。QuiteRAT 可以窃取有关其主机和用户的信息以及运行命令，并且只有四到五兆字节，它很难在目标网络中留下明显的印记。

详情

0x0b   产品侧解决方案

若想了解更多信息或有相关业务需求，可移步至http://360.net

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360威胁情报平台（TIP）

360威胁情报平台（TIP）一款构建全面情报管理、赋能、评价、分享能力的新一代本地化情报平台。可以用来增强对关键威胁的检测；可以自动化识别报警中的重点事件；还可以提供情报分析、外部攻击面管理、行业威胁情报等高阶能力，帮助组织全面应对数字时代的安全风险。

0x0c   时间线

2023-08-21 360CERT发布安全周报